ZM思

2019年11月17日

摘要： 0|1一.什么是IDS和IPS？ IDS(Intrusion Detection Systems)：入侵检测系统，是一种网络安全设备或应用软件，可以依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并发出安全警报。 IPS(Intrusion Prev 阅读全文

posted @ 2019-11-17 12:04 ZM思阅读(1493) 评论(0) 推荐(0) 编辑

SQL注入学习资料总结

摘要：什么是SQL注入 SQL注入基本介绍结构化查询语言（Structured Query Language，缩写：SQL），是一种特殊的编程语言，用于数据库中的标准数据查询语言。1986年10月，美国国家标准学会对SQL进行规范后，以此作为关系式数据库管理系统的标准语言（ANSI X3. 135-198 阅读全文

posted @ 2019-11-17 12:01 ZM思阅读(459) 评论(0) 推荐(0) 编辑

服务器搭建及使用基础加进阶篇

该文被密码保护。阅读全文

posted @ 2019-11-17 11:58 ZM思阅读(100) 评论(0) 推荐(0) 编辑

2019年11月10日

常见WAF绕过思路

摘要： WAF分类 0x01 云waf 在配置云waf时（通常是CDN包含的waf），DNS需要解析到CDN的ip上去，在请求uri时，数据包就会先经过云waf进行检测，如果通过再将数据包流给主机。 0x02 主机防护软件在主机上预先安装了这种防护软件，可用于扫描和保护主机（废话），和监听web端口的流量阅读全文

posted @ 2019-11-10 19:50 ZM思阅读(7665) 评论(0) 推荐(0) 编辑

业务安全漏洞挖掘归纳总结

摘要：身份认证安全 1.暴力破解在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本描述 Burpsuite htpwd 阅读全文

posted @ 2019-11-10 18:57 ZM思阅读(740) 评论(0) 推荐(0) 编辑

细说验证码安全 —— 测试思路大梳理

摘要：细说验证码安全 —— 测试思路大梳理 1 前言在安全领域，验证码主要分为两大类：操作验证码和身份验证码虽然都是验证码，但是这两者所承担的职责却完全不同。操作验证码，比如登录验证码，主要用来区分人与机器，在某种程度上属于图灵测试身份验证码，主要用来判断账号归属人，解决信任问题，所以更恰阅读全文

posted @ 2019-11-10 18:57 ZM思阅读(2783) 评论(0) 推荐(0) 编辑

验证码安全那些事

摘要：目录 0×01. 图形验证码 0×02. 短信验证码 0×03. 语音验证码 0×04. 滑动验证码 0×05. 总结备注：无论使用哪种验证码，只要开发不当都可能存在安全漏洞，为了减少文章重复内容，只在短信验证码中讲解漏洞以及对应加固方案，在语音验证码中讲解风控预防措施。 0×01 图形验证码图阅读全文

posted @ 2019-11-10 18:40 ZM思阅读(1019) 评论(0) 推荐(0) 编辑

2019年11月8日

手机验证码常见漏洞总结

摘要： 0X00 前言手机验证码在web应用中得到越来越多的应用，通常在用户登陆，用户注册，密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在的问题，收集了一些手机验证码漏洞的案例，这里做一个归纳总结，在测试中，让自己的思路更加明确。常见的手机验证码漏洞如下： 1、无效验证 2、客户端验证阅读全文

posted @ 2019-11-08 22:52 ZM思阅读(943) 评论(0) 推荐(0) 编辑

绕过雷蛇官网的动态验证码

摘要：大家好，我是@dhakal_ananda，来自尼泊尔，这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目，我接到邀请后并没有参加；后来它变成了公开项目，我反而对它起了兴趣。在挖掘漏洞时，我更喜欢绕过各种安全功能（例如二次验证），而不是挖掘普通的XSS 阅读全文

posted @ 2019-11-08 22:42 ZM思阅读(426) 评论(0) 推荐(0) 编辑

渗透测试之业务流量通用抓包方法及自动化漏洞扫描

摘要：摘要: 前言在移动互联的时代，手机端业务越来越多，渗透测试中经常会遇到安卓APP和各种微信/支付宝小程序，以APP为例，很多APP目前都会在发起网络请求前先判断手机网络是否使用了代理，如果使用了代理就不请求接口，那么我们就无法抓取数据包进行分析了。想到之前内网渗透中经常使用Proxifier进行流量阅读全文

posted @ 2019-11-08 22:37 ZM思阅读(1280) 评论(0) 推荐(0) 编辑

公告